Adobe ammette che la nuova protezione con password PDF è più debole

Adobe ha apportato una modifica fondamentale all'algoritmo utilizzato per proteggere con password i documenti PDF in Acrobat 9, rendendo molto più facile il recupero di una password e la preoccupazione per la sicurezza dei documenti, secondo la società di sicurezza russa Elcomsoft.

Elcomsoft è specializzata nella creazione di software in grado di recuperare le password per i documenti Adobe. Il software viene utilizzato dalle aziende per aprire documenti dopo che i dipendenti hanno dimenticato le loro password e dai servizi di polizia nelle loro indagini.

Per i suoi prodotti Reader 9 e Acrobat 9, Adobe ha implementato la crittografia AES a 256 bit (Advanced Encryption Standard), dalla crittografia AES a 128 bit utilizzata nei precedenti prodotti Acrobat.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

La crittografia originale a 128 bit è potente e in alcuni casi ci vorrebbero anni per testare tutte le possibili chiavi per scoprire una password, ha detto Dmitry Sklyarov, analista di sicurezza delle informazioni con Elcomsoft.

Ma Elcomsoft ha detto che il cambiamento dell'algoritmo sottostante per Acrobat 9 rende scomposti una password debole - specialmente una corta con solo superiore e lettere minuscole - fino a 100 volte più velocemente che in Acrobat 8, ha detto Sklyarov. Nonostante utilizzi la crittografia a 256 bit, la modifica dell'algoritmo compromette ancora la sicurezza di un documento.

Adobe ha riconosciuto la modifica dell'algoritmo di crittografia sul suo blog sulla sicurezza. La compagnia ha detto che i tentativi di forza bruta - dove decine di milioni di combinazioni di password vengono provate nella speranza di sbloccare il documento - potrebbero finire per capire le password più rapidamente usando meno cicli del processore.

Le modifiche sono state apportate per aumentare le prestazioni, Adobe ha detto. Ma Sklyarov ha detto che anche con l'algoritmo di crittografia a 128 bit utilizzato in Acrobat 8, l'applicazione risponde rapidamente alle voci della password corrette e non corrette.

"Non c'è alcuna ragione razionale per farlo", ha detto Sklyarov.

Nonostante il cambiamento, c'è un modo per mantenere i documenti al sicuro: quando si imposta una password, le persone dovrebbero usare una combinazione di lettere maiuscole e minuscole e altri caratteri speciali, come le virgolette, ha detto Sklyarov. Se vengono utilizzati caratteri speciali, la password non deve essere inferiore a otto caratteri. Se vengono utilizzate solo lettere, dovrebbero essere almeno da 10 a 12 caratteri, ha detto.

Adobe ha impartito lo stesso consiglio. "Con una frase più lunga e più diversità di personaggi, ci sono molte più permutazioni da indovinare", secondo il blog. La società ha inoltre raccomandato che la sicurezza dei documenti possa essere migliorata con ulteriori controlli di accesso come smart card e strumenti biometrici.